最新变种勒索病毒紧急通告


近日,多地爆发了一场急速感染的勒索病毒感染事件。
团队经研究决定,立即发布该紧急安全通告,防止更多人受到波及影响。

1#事件简述
团队成员整理发现,该勒索病毒最早在网上的报告时间,是2020年4月4日下午5时,接下来陆续有人员在百度贴吧、360论坛以及火绒论坛进行求助!
有消息称已经上报国家互联网应急中心(cncert)


病毒感染后,显示赎金为0.05个比特币,内容语言为繁体,未明确编写的程序语言

2#威胁分析

按照目前情报看来,该病毒有两种形式:
①以TXT形式进行感染,②以png图片形式进行感染。
(两种形式的比特币地址相同,可确定是同一人所为)


实例情况:
①安装火绒的Windows 10感染时,未开启进程监控,无木马病毒报告,但是马上被感染,文件均被加密,后缀名wannaren,怀疑wannacry永恒之蓝变种
②安装360安全卫士的Windows7感染时,虽然进行了第一时间的查杀,仍然感染,所有文件均被加密,后缀名wannaren,怀疑wannacry永恒之蓝变种
目前有报告称在安装微软”永恒之蓝“系统补丁后仍可感染(还待考证)

该病毒特征:
  • 大部分杀毒软件无法进行有效检测和拦截
  • 发现“kms激活工具 19.5.2.exe”为该勒索病毒下载器,该下载器伪装成kms激活工具诱导用户下载
  • 此勒索病毒不利用原版的永恒之蓝漏洞
  • 部分Win7免疫但有弹窗无伤害(可能为盗版团队对系统的安全优化阻止了感染),Win10和Win8.x以及Windows Server系列均可被感染,版本原因正在确认中
  • 会检测识别VM虚拟机,在VM虚拟机上会尝试穿透感染物理机
  • 病毒自带数字签名,可以绕过杀软检测,使用vmp加壳
  • 执行加密操作后会删除自身程序,只留下附属的解密程序


3#病毒样本
以下附该病毒样本:
链接1: https://pan.baidu.com/s/1TFxi4gsBZoqKihe0wHVv-g 提取码: 485h 
链接2:https://pan.baidu.com/s/1kzvdLIOtPH0Ozx2jQ7UxLQ 提取码: fydr
注:该样本不是真实完整病毒样本,已经确定是病毒执行加密操作后,留下的附属解密程序,通过测试发现并不会加密文件,也不会生成本机key,病毒的真实攻击流程还待深究,自行下载测试出现问题本团队概不负责!!!
病毒样本实体机测试视频链接:https://www.bilibili.com/video/BV14g4y187pn

4#病毒逆向分析
  1. 在“kms激活工具 19.5.2.exe”程序中(现在发现不只这一个程序捆绑病毒),发现捆绑PowerShell恶意代码
  2. 当恶意代码执行时,首先延时2000秒,一定程度上造成用户措手不及,以及无缘无故感染的假象
  3. 接下来将获取并执行http://cs.sslsngyl90.com中的代码下载程序到本地执行
  4. 病毒在http://cs.sslsngyl90.com中后续代码会执行更多行为:下载并执行挖矿程序/释放一个伪造的Everything工具,实为木马程序,开放并监听本地3611端口/下载“永恒之蓝”工具包并集成批量扫描工具/创建设备驱动进行顽固驻留

5#总结
  • 近期不要下载和打开来源不明的文件,不要浏览不明网站;
  • 最好安装所有的更新补丁,装上杀毒软件(推荐火绒);
  • Win10最好开启自带的防火墙,服务器只开放使用到的端口;
  • 此次病毒对Linux和macOS不够成影响,不要散布谣言
  • 及时关注病毒动态,等待安全厂商的官方回应
6#最新动态
(本版块将实时更新)
  • 截止到2020年4月6日20时,火绒/安博士/安天/金山毒霸/360/瑞星/若顿/智量/国外某些杀毒软件,已经可以识别病毒并清除(其中除安天/瑞星/智量不用升级外,其他杀毒软件均要升级才能进行防护)
  • Windows自带的防火墙不会报毒
  • 目前病毒可能通过80/221/443端口或CVE-2020-0796漏洞进行传播
  • 病毒有一个TCP连接指向北京海淀区的电信IP:203.208.43.154的443端口
  • 该病毒会检测用户电脑是否能访问Google来判断是否为大陆电脑,疑似是面向中国大陆的攻击
  • 目前国外的攻击报告还没出现
  • 病毒会捆绑更多文件诱导用户下载执行
  • 4月9日,该病毒作者联系火绒安全并提供了有效秘钥,详情请点击:http://blog.ymlz.online/post-71.html
本博客所有文章如无特别注明均为原创。作者:幽冥狼族团队复制或转载请以超链接形式注明转自 幽冥狼族团队博客
原文地址《最新变种勒索病毒紧急通告
分享到:更多

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(0)